Comitetul European pentru Protecția Datelor

Comitetul European pentru Protecția Datelor – a șasea sesiune plenară: Scutul de Confidențialitate, Brexit, întrebări și răspunsuri despre studiile clinice, liste EIPD, orientări privind certificarea, răspuns al CEPD către autoritatea de supraveghere din

Thursday, 24 January, 2019
EDPB

Bruxelles, 24 ianuarie. În perioada 22-23 ianuarie, autoritățile europene pentru protecția datelor, reunite în cadrul Comitetului European pentru Protecția Datelor, au participat la cea de a șasea sesiune plenară a acestuia. În cadrul sesiunii plenare s-a discutat o gamă largă de subiecte.
 
Scutul de confidențialitate
Membrii Comitetului au adoptat raportul CEPD cu privire la cea de-a doua evaluare anuală a Scutului de Confidențialitate UE-SUA. CEPD salută eforturile depuse de autoritățile SUA și de Comisie pentru a pune în aplicare Scutul de Confidențialitate, în special acțiunile întreprinse pentru a adapta procesul de certificare inițială, pentru a începe ex officio acțiunile de supraveghere și de asigurare a respectării legii, precum și eforturile de a publica o serie de documente importante, parțial prin declasificare (cum ar fi deciziile Curții FISA), numirea unui nou președinte, precum și a trei noi membri ai Comitetului de supraveghere a vieții private și a libertăților civile (PCLOB) și recent anunțata numire a unui Ombudsman permanent.

Având în vedere concluziile celei de-a doua evaluări comune, rămân în continuare preocupări legate de punerea în aplicare a Scutului de Confidențialitate. Printre acestea se numără preocupările exprimate deja de Grupul de lucru „Articolul 29”, predecesorul CEPD, referitoare la lipsa unor asigurări concrete privind excluderea colectării arbitrare a datelor cu caracter personal și a accesului la acestea în scopuri de securitate națională. De asemenea, pe baza informațiilor furnizate până acum, CEPD nu poate în prezent să considere că Ombudsmanul este învestit cu competențe suficiente pentru a remedia neconformitatea. În plus, Comitetul subliniază faptul că verificările privind conformitatea cu esența principiilor Scutului de Confidențialitate nu sunt suficient de solide.

Mai mult, CEPD are unele motive de îngrijorare suplimentare în ceea ce privește verificările necesare pentru a se conforma cerințelor privind transferurile ulterioare, domeniul de aplicare al datelor privind resursele umane și procesul de recertificare, precum și în ceea ce privește o listă a problemelor rămase, ridicate după prima evaluare comună și încă aflate în curs de examinare.

Brexit
CEPD a discutat despre posibilele consecințe ale Brexitului în domeniul protecției datelor. Membrii au fost de acord să coopereze și să facă schimb de informații în ceea ce privește pregătirile și instrumentele disponibile pentru transferul de date către Regatul Unit, după ce Regatul Unit nu va mai face parte din UE.

Întrebări și răspunsuri despre studiile clinice
În urma unei solicitări din partea Comisiei Europene (DG SANTE), CEPD și-a adoptat avizul privind întrebările și răspunsurile despre studiile clinice. Avizul abordează mai ales aspectele legate de temeiurile juridice adecvate în contextul studiilor clinice, precum și utilizările secundare ale datelor provenite din studii clinice în scop științific. Acest aviz va fi transmis Comisiei Europene.

Listele EIPD
CEPD a adoptat avize privind listele de evaluare a impactului asupra protecției datelor (EIPD), prezentate Comitetului de către Liechtenstein și Norvegia. Aceste liste constituie un instrument important pentru aplicarea consecventă a RGPD în SEE. EIPD este un proces care contribuie la identificarea și atenuarea riscurilor legate de protecția datelor care ar putea afecta drepturile și libertățile persoanelor. În timp ce, în general, operatorul de date trebuie să evalueze dacă este necesară o EIPD înainte de a se angaja în activitatea de prelucrare, autoritățile naționale de supraveghere stabilesc și întocmesc o listă cu tipurile de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor. Aceste două avize urmează celor 22 de avize adoptate în sesiunea plenară din septembrie și celor patru avize adoptate în sesiunea plenară din decembrie și vor contribui în continuare la stabilirea unor criterii comune pentru listele EIPD în întregul SEE.

Orientări privind certificarea
CEPD a adoptat versiunea finală a orientărilor privind certificarea în urma consultărilor publice. În plus, Comitetul a adoptat, de asemenea, o nouă anexă. Un proiect al orientărilor a fost adoptat în luna mai, în cursul primei sesiuni plenare a CEPD. Obiectivul principal al acestor orientări este de a identifica criteriile generale care pot fi relevante pentru toate tipurile de mecanisme de certificare emise în conformitate cu articolul 42 și cu articolul 43 din RGPD. Ca atare, orientările explorează argumentele în favoarea certificării drept instrument de responsabilitate, oferă explicații cu privire la conceptele-cheie ale dispozițiilor de certificare din articolul 42 și din articolul 43, explică sfera a ceea ce poate fi certificat și precizează scopul certificării. Orientările vor ajuta statele membre, autoritățile de supraveghere și organismele naționale de acreditare (ONA) să revizuiască și să aprobe criteriile de certificare în conformitate cu articolul 42 și cu articolul 43 din RGPD. Această anexă va face obiectul unei consultări publice.

Răspunsul adresat autorității de supraveghere din Australia privind notificarea încălcării securității datelor cu caracter personal
În octombrie 2018, președintele CEPD a primit o cerere scrisă din partea Biroului comisarului australian pentru informații referitoare la publicarea notificărilor privind încălcarea securității datelor cu caracter personal de către autoritățile de supraveghere. CEPD salută interesul comisarului australian de a coopera cu Comitetul European pentru Protecția Datelor cu privire la acest aspect și subliniază importanța colaborării internaționale. În răspunsul său, CEPD oferă informații suplimentare cu privire la oportunitatea și modul în care autoritățile de supraveghere gestionează publicarea informațiilor referitoare la notificările privind încălcarea securității datelor cu caracter personal.